Перенесите запросы расширенного поиска угроз из Microsoft Defender для конечной точки

Перенесите рабочие процессы расширенного поиска угроз из Microsoft Defender для конечной точки, чтобы упреждающе выявлять угрозы, используя более широкий набор данных. В Microsoft Defender вы получаете доступ к данным из других решений Безопасность Microsoft 365, в том числе:

  • Microsoft Defender для конечной точки
  • Microsoft Defender для Office 365
  • Microsoft Defender для облачных приложений
  • Microsoft Defender для идентификации

Примечание.

Большинство клиентов Microsoft Defender для конечной точки могут использовать Microsoft Defender XDR без дополнительных лицензий. Чтобы начать перенос расширенных рабочих процессов охоты из Defender для конечной точки, включите Microsoft Defender XDR.

Вы можете выполнить переход, не влияя на существующие рабочие процессы Defender for Endpoint. Сохраненные запросы остаются нетронутыми, а настраиваемые правила обнаружения продолжают выполняться и создавать оповещения. Сохраненные запросы и пользовательские правила обнаружения будут отображаться в Microsoft Defender.

Таблицы схемы только в Microsoft Defender

Схема расширенного поиска Microsoft Defender предоставляет дополнительные таблицы с данными из различных решений безопасности Microsoft 365. Следующие таблицы доступны только в Microsoft Defender:

Имя таблицы Описание
AlertEvidence Файлы, IP-адреса, URL-адреса, пользователи или устройства, связанные с оповещениями
AlertInfo Оповещения от Microsoft Defender для конечных точек, Microsoft Defender для Office 365, Microsoft Defender для облачных приложений и Microsoft Defender для идентификации, включая сведения об уровне серьезности и о категориях угроз
EmailAttachmentInfo Сведения о файлах, вложенных в сообщения электронной почты
EmailEvents События электронной почты Microsoft 365, в том числе события доставки и блокирования электронной почты
EmailPostDeliveryEvents События безопасности, которые произошли после доставки Microsoft 365 сообщений электронной почты в почтовый ящик получателя
EmailUrlInfo Сведения об URL-адресах в сообщениях электронной почты
IdentityDirectoryEvents События, связанные с использованием локального контроллера домена с Active Directory (AD). Эта таблица включает ряд событий, связанных с идентификацией, а также системные события на контроллере домена.
IdentityInfo Сведения об учетной записи из различных источников, включая Microsoft Entra ID
IdentityLogonEvents События проверки подлинности в Active Directory и веб-службах Майкрософт
IdentityQueryEvents Запросы объектов Active Directory, таких как пользователи, группы, устройства и домены

Важно!

Запросы и пользовательские обнаружения, использующие таблицы схем, доступные только в Microsoft Defender, можно просматривать только в Microsoft Defender.

Сопоставить таблицу DeviceAlertEvents

Таблицы AlertInfo и AlertEvidence заменяют таблицу DeviceAlertEvents в схеме Microsoft Defender для конечной точки. Помимо данных об оповещениях, связанных с устройствами, эти две таблицы также содержат данные об оповещениях для идентификационных данных, приложений и электронной почты.

Используйте следующую таблицу, чтобы проверить, как столбцы DeviceAlertEvents сопоставляются со столбцами в таблицах AlertInfo и AlertEvidence.

Совет

Помимо столбцов в следующей таблице, таблица AlertEvidence содержит множество других столбцов, которые предоставляют более целостную картину оповещений из различных источников. Просмотреть все столбцы AlertEvidence

Столбец DeviceAlertEvents Где найти те же данные в Microsoft Defender XDR
AlertId таблицы AlertInfo и AlertEvidence
Timestamp таблицы AlertInfo и AlertEvidence
DeviceId AlertEvidence таблица
DeviceName AlertEvidence таблица
Severity AlertInfo таблица
Category AlertInfo таблица
Title AlertInfo таблица
FileName AlertEvidence таблица
SHA1 AlertEvidence таблица
RemoteUrl AlertEvidence таблица
RemoteIP AlertEvidence таблица
AttackTechniques AlertInfo таблица
ReportId Этот столбец обычно используется в Microsoft Defender для конечной точки для поиска связанных записей в других таблицах. В Microsoft Defender XDR можно получить связанные данные непосредственно из AlertEvidence таблицы.
Table Этот столбец обычно используется в Microsoft Defender для конечной точки для получения дополнительных сведений о событиях в других таблицах. В Microsoft Defender XDR можно получить связанные данные непосредственно из AlertEvidence таблицы.

Изменение существующих запросов Microsoft Defender для конечной точки

Запросы Microsoft Defender для конечной точки будут работать без изменений, если только они не ссылаются на таблицу DeviceAlertEvents. Чтобы использовать эти запросы в Microsoft Defender, примените следующие изменения:

  • Замените DeviceAlertEvents на AlertInfo.
  • Объедините таблицы AlertInfo и AlertEvidence по AlertId, чтобы получить эквивалентные данные.

Исходный запрос Defender for Endpoint

Следующий запрос использует DeviceAlertEvents в Microsoft Defender для конечных точек, чтобы получить оповещения, в которых используется powershell.exe:

DeviceAlertEvents
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)" and FileName == "powershell.exe"

Измененный запрос для Microsoft Defender XDR

Следующий запрос был изменен для использования в Microsoft Defender. Вместо проверки имени файла непосредственно из DeviceAlertEvents, он соединяет AlertEvidence и проверяет имя файла в этой таблице.

AlertInfo
| where Timestamp > ago(7d)
| where AttackTechniques has "PowerShell (T1086)"
| join AlertEvidence on AlertId
| where FileName == "powershell.exe"

Перенос настраиваемых правил обнаружения

Если правила Microsoft Defender для конечной точки редактируются на Microsoft Defender, они продолжают работать, как и раньше, если результирующий запрос смотрит только на таблицы устройств.

Например, оповещения, созданные пользовательскими правилами обнаружения, которые запрашивают только таблицы устройств, будут по-прежнему доставляться в SIEM и создавать Уведомления по электронной почте в зависимости от того, как вы настроили их в Microsoft Defender для конечной точки. Все существующие правила подавления в Defender для конечной точки также будут применяться.

После того как вы измените правило Defender for Endpoint так, чтобы оно выполняло запросы к таблицам удостоверений и электронной почты, доступным только в Microsoft Defender, это правило автоматически переносится в Microsoft Defender.

Оповещения, созданные перенесенным правилом:

  • Больше не отображаются в портале Defender для конечных точек (Центр безопасности Microsoft Defender)
  • Прекратите доставку в SIEM или создайте Уведомления по электронной почте. Чтобы обойти потерю уведомлений siEM и уведомлений по электронной почте, настройте уведомления с помощью Microsoft Defender для получения оповещений. Api Microsoft Defender можно использовать для получения уведомлений об оповещениях обнаружения клиентов или связанных инцидентах.
  • Не будет подавляться правилами исключения Microsoft Defender для конечной точки. Чтобы предотвратить создание оповещений для определенных пользователей, устройств или почтовых ящиков, измените соответствующие запросы, чтобы исключить эти сущности явным образом.

Если вы измените правило Defender для конечных точек так, чтобы оно выполняло запрос к таблицам данных удостоверений или электронной почты, вам будет предложено подтвердить это, прежде чем правило будет перемещено в Microsoft Defender XDR.

Новые оповещения, созданные пользовательскими правилами обнаружения в Microsoft Defender, отображаются на странице генерации оповещений, которая предоставляет следующие сведения:

  • Название и описание оповещения
  • Затронутые активы
  • Действия, выполняемые в ответ на оповещение
  • Результаты запроса, вызвавшие оповещение
  • Сведения о пользовательском правиле обнаружения

Написание запросов без DeviceAlertEvents

В схеме Microsoft Defender XDR таблицы AlertInfo и AlertEvidence предназначены для хранения разнообразных сведений, сопровождающих оповещения из различных источников.

Чтобы получить те же сведения об оповещениях, которые раньше получали из таблицы DeviceAlertEvents в схеме Microsoft Defender для конечной точки, отфильтруйте таблицу AlertInfo по столбцу ServiceSource. Столбец ServiceSource определяет, какой продукт Безопасность Microsoft 365 создал оповещение, например Microsoft Defender для конечной точки, Microsoft Defender для Office 365или Microsoft Defender для удостоверений. После фильтрации по ServiceSource объедините каждый уникальный идентификатор с таблицей AlertEvidence, которая содержит подробную информацию о событиях и сущностях.

Следующий пример запроса фильтрует AlertInfo по ServiceSource и объединяет AlertEvidence по AlertId:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
| join AlertEvidence on AlertId

Этот запрос возвращает намного больше столбцов, чем DeviceAlertEvents в схеме Microsoft Defender для конечных точек. Чтобы результаты были управляемыми, используйте project для получения только интересующих вас столбцов. Следующий запрос выводит столбцы, полезные при анализе активности PowerShell:

AlertInfo
| where Timestamp > ago(7d)
| where ServiceSource == "Microsoft Defender for Endpoint"
    and AttackTechniques has "powershell"
| join AlertEvidence on AlertId
| project Timestamp, Title, AlertId, DeviceName, FileName, ProcessCommandLine

Если вы хотите отфильтровать определенные сущности, участвующие в оповещениях, это можно сделать, указав тип сущности в EntityType и значение, по которым вы хотите отфильтровать. Следующий запрос извлекает все свидетельства для оповещения с определённым заголовком, объединяя AlertInfo с AlertEvidence, а затем фильтрует результаты по определённому IP-адресу:

AlertInfo
| where Title == "Insert_your_alert_title"
| join AlertEvidence on AlertId
| where EntityType == "Ip" and RemoteIP == "192.88.99.01"

Дополнительные сведения о расширенной охоте и Microsoft Defender XDR см. в следующих статьях:

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.